Categories: ALERTAS

91.000 dispositivos Smart LG TV vulneráveis ​​ao controle remoto

Pesquisadores de segurança cibernética da Bitdefender descobriram vulnerabilidades críticas em TVs LG que executam as versões 4 a 7 do webOS. Essas vulnerabilidades podem permitir que invasores obtenham controle total sobre a TV, roubem dados ou instalem malware.

As vulnerabilidades foram identificadas pela Bitdefender como parte de sua pesquisa sobre a segurança de dispositivos IoT populares. Eles descobriram que os invasores poderiam ignorar os mecanismos de autenticação e criar novas contas de usuário com privilégios elevados. Isso permitiria que eles assumissem o controle total da TV, incluindo a injeção de código malicioso, o roubo de dados ou a movimentação lateral pela rede doméstica inteligente.

A Bitdefender divulgou responsavelmente as vulnerabilidades à LG em novembro de 2023. A LG confirmou as vulnerabilidades em novembro e lançou um patch em março de 2024. No entanto, a Bitdefender esperou até hoje, 9 de abril de 2024, para divulgar publicamente os detalhes das vulnerabilidades para aumentar a conscientização entre os usuários. e incentive-os a atualizar suas TVs.

Quais modelos de TV LG são afetados?

Os seguintes modelos de TV LG são afetados por essas vulnerabilidades:

  • TVs LG executando webOS 4.9.7 – 5.30.40 (por exemplo, LG43UM7000PLA )
  • TVs LG executando webOS 5.5.0 – 04.50.51 (por exemplo, OLED55CXPUA )
  • TVs LG executando webOS 7.3.1-43 (mullet-mebin) – 33.03.85 (por exemplo, OLED55A23LA )
  • TVs LG executando webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50 (por exemplo, OLED48C1PUB .

A primeira vulnerabilidade, identificada como CVE-2023-6317 , permite que invasores contornem o mecanismo de autorização, permitindo-lhes adicionar usuários ao aparelho de TV manipulando uma variável específica.

Numa etapa subsequente, os invasores podem explorar outra vulnerabilidade ( CVE-2023-6318 ) para escalar seus privilégios de acesso para root, obtendo efetivamente controle total sobre o dispositivo.

Além disso, uma terceira vulnerabilidade ( CVE-2023-6319 ) permite a injeção de comandos do sistema operacional por meio da adulteração de uma biblioteca responsável por exibir letras de músicas. Por último, a vulnerabilidade CVE-2023-6320 permite que invasores injetem comandos autenticados por meio da manipulação do endpoint da API.

Países mais impactados

Uma olhada no Shodan, o mecanismo de busca projetado para descobrir dispositivos da Internet das Coisas (IoT) mal configurados e expostos, revela os países mais impactados em termos de vulnerabilidades de dispositivos inteligentes. A Coreia do Sul lidera a lista de 91.938 dispositivos expostos, seguida por Hong Kong e pelos Estados Unidos em segundo e terceiro lugar, respetivamente.

Captura de tela: Bitdefender

O que os proprietários de TVs LG devem fazer?

A LG lançou um patch para resolver essas vulnerabilidades em março de 2024. Os proprietários de TVs LG devem atualizar suas TVs para a versão de software mais recente o mais rápido possível. Geralmente você pode verificar atualizações no menu de configurações da TV.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Recent Posts

Okta alerta para campanha de vishing “Pink” que registra passkeys adversariais em contas Microsoft 365

Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…

10 horas ago

CISA publica post-mortem de vazamento de chaves AWS GovCloud em GitHub pessoal de contratado

CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…

10 horas ago

Zimbra alerta para falha crítica de XSS armazenado no Classic Web Client; patch 10.1.19 é obrigatório

Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…

10 horas ago

ANPD publica o 1º relatório do sandbox de IA: Metatext, Synapse AI e Prevvine sob supervisão desde março

ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…

14 horas ago

Grok 4.5 gasta 4,2x menos tokens que Opus 4.8 no SWE-Bench Pro: SpaceXAI aposta na eficiência para vencer no custo por tarefa

Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…

14 horas ago

Qualcomm compra Modular por US$ 3,9 bi para atacar o fosso do CUDA: MAX e Mojo entram na guerra por data centers

Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…

14 horas ago